L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Microsoft Office Web Components : corruption de mémoire

Synthèse de la vulnérabilité 

Un attaquant peut inviter la victime à consulter une page HTML illicite afin de corrompre la mémoire d'un ActiveX Microsoft Office Web Components, conduisant à l'exécution de code.
Logiciels impactés : BizTalk Server, IE, ISA, Office, Access, Excel, Microsoft FrontPage, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, Visual Studio.
Gravité de cette vulnérabilité informatique : 4/4.
Date de création : 15/07/2009.
Références de cette annonce : 957638, 973472, BID-35642, CVE-2009-1136, FGA-2009-27, MS09-043, VIGILANCE-VUL-8854, VU#545228.

Description de la vulnérabilité 

Les Microsoft Office Web Components sont installés avec Office et ISA, et fournissent des ActiveX permettant de publier des tableaux et des graphiques sur un site web.

L'ActiveX OWC10.Spreadsheet affiche un tableur Excel. Ses méthodes Evaluate() et msDataSourceObject() ne gèrent pas correctement les tableaux de nombres, ce qui corrompt la mémoire.

Un attaquant peut donc inviter la victime à consulter une page HTML illicite afin de corrompre la mémoire d'un ActiveX Microsoft Office Web Components, conduisant à l'exécution de code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de faille concerne les logiciels ou systèmes comme BizTalk Server, IE, ISA, Office, Access, Excel, Microsoft FrontPage, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, Visual Studio.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace cyber-sécurité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette annonce de vulnérabilité informatique.

Solutions pour cette menace 

Office Web Components : patch.
L'annonce Microsoft indique les correctifs et les contre-mesures.

Microsoft Office Web Components : contre-mesure.
Une contre-mesure consiste à positionner le Kill Bit, à l'aide du fichier "applique_kill_bit_....reg".
L'annonce Microsoft 973472 indique d'autres contre-mesures.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilités logicielles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.